首页 > 代码库 > 配置 vCenter Single Sign-On 中

配置 vCenter Single Sign-On 中

本篇是承接上一篇


编辑vCenter Single Sign-On 令牌策略

    vCenter Single Sign-On 令牌策略指定时钟容错、续订次数以及其他令牌属性。您可以编辑 vCenter Single SignOn 令牌策略以确保令牌规范遵从贵公司的安全标准。

步骤   

    1 登录到vSphere Web Client。

    2 选择管理> Single Sign-On,然后选择配置

    3 单击策略选项卡,然后选择令牌策略

    vSphere Web Client 将显示当前的配置设置。如果您未修改默认设置,vCenter Single Sign-On 将使用这些设置。

    4 编辑令牌策略配置参数。

选项                                 描述

时钟容错                 vCenter Single Sign-On 允许客户端时钟与域控制器时钟之间存在的时差(以

                         毫秒为单位)。如果时差大于指定值,vCenter Single Sign-On 将声明令牌无

                         效。


最大令牌续订计数         可以续订令牌的最大次数。超过最大续订尝试次数后,需要使用新安全令牌。


最大令牌委派计数         可以将密钥所有者令牌委派给vSphere 环境中的服务。使用委派令牌的服务

                         将代表提供该令牌的主体执行服务。令牌请求指定DelegateTo 身份。

                         DelegateTo 值可以是解决方案令牌或对解决方案令牌的引用。此值指定可以

                         委派单个密钥所有者令牌的次数。


持有者令牌的最长生命周期 持有者令牌仅根据令牌的占有情况提供身份验证。持有者令牌只能在短期的

                         单个操作中使用。持有者令牌不验证发送请求的用户或实体的身份。此值                            指定在重新发布持有者令牌之前该令牌的生命周期值。


密钥所有者令牌的最长生命周期   密钥所有者令牌根据令牌中嵌入的安全项目提供身份验证。密钥所有                                者令牌可用于委派。客户端可以获取密钥所有者令牌并将该令牌委托                                给其他实体。该令牌包含用于标识请求方和委派方的声明。在                                      vSphere 环境中,vCenter Server 代表用户获取委派的令牌并使用                                这些令牌执行操作。此值决定在将密钥所有者令牌标记为无效之前该                                令牌的生命周期。


5 单击确定。


使用vCenter Single Sign-On 标识vCenter Server 的源

    

      标识源允许您将一个或多个域附加到 vCenter Single Sign-On。域是用户和组的存储库,可以由vCenter Single Sign-On 服务器用于用户身份验证。

      标识源是用户和组数据的集合。用户和组数据存储在Active Directory 中、OpenLDAP 中或者存储到本地安装了vCenter Single Sign-On 的计算机操作系统。安装后,vCenter Single Sign-On 的每个实例都具有一个本地操作系统标识源vpshere.local。此标识源是vCenter Single Sign-On 的内部标识源。

        vCenter Single Sign-On 管理员用户可以创建vCenter Single Sign-On 用户和组。

标识源的类型

    vCenter Server 5.1 版之前的版本支持将Active Directory 和本地操作系统用户作为用户存储库。因此,本地操作系统用户可以始终对vCenter Server 系统进行身份验证。vCenter Server 5.1 版和5.5 版使用vCenter Single Sign-On 进行身份验证。

    vCenter Single Sign-On 5.5 支持将以下类型的用户存储库用作标识源,但仅支持一个默认标识源。

    

        Active Directory 版本2003 及更高版本。vCenter Single Sign-On 仅允许您指定单个             Active Directory 域作为标识源。该域可包含子域或作为林的根域。在vSphere Web Client           中显示为 Active Directory (已集成Windows 身份验证)。


        Active Directory over LDAP。vCenter Single Sign-On 支持多个 Active Directory              over LDAP 标识源。包含此标识源类型,以便与vSphere 5.1 随附的vCenter Single Sign-On          服务兼容。在vSphere Web Client中显示为 Active Directory 作为LDAP 服务器。


        OpenLDAP 版本 2.4 及更高版本。vCenter Single Sign-On 支持多个 OpenLDAP 标识源。在         vSphere Web Client 中显示为 OpenLDAP。


        本地操作系统用户。本地操作系统用户是运行vCenter Single Sign-On 服务器的操作系统的          本地用户。本地操作系统标识源仅在基本 vCenter Single Sign-On  服务器部署中存在,并          在具有多个 vCenter Single SignOn 实例的部署中不可用。仅允许一个本地操作系统标识            源。在vSphere Web Client 中显示为 localos。


        vCenter Single Sign-On 系统用户。每次安装vCenter Single Sign-On 时都会创建一个名          为vsphere.local的系统标识源。在vSphere Web Client 中显示为 vsphere.local。


    注意   无论何时都只存在一个默认域。来自非默认域的用户在登录时必须添加域名(域\用户)才             能成功进行身份验证。

设置vCenter Single Sign-On 的默认域

    步骤

    

    1 以administrator@vsphere.local 或拥有vCenter Single Sign-On 管理员特权的其他用户的身份       登录到vSphere Web Client。

    2 浏览到管理> Single Sign-On > 配置

    3 在标识源选项卡上,选择一个标识源,然后单击设置为默认域图标。在域显示屏幕中,默认域显       示在“域”列中(默认设置)。

添加vCenter Single Sign-On 标识源

    

        仅当用户位于已添加为 vCenter Single Sign-On 标识源的域中时,才可以登录          vCenter Server。vCenter Single Sign-On 管理员用户可从vSphere Web Client 中添加标识源。

        标识源可以是本机Active Directory(已集成Windows 身份验证)域,也可以是OpenLDAP 目录服务。为实 现向后兼容性,Active Directory 也可用作LDAP 服务器。

        一旦完成安装,以下默认标识源和用户立即可用:

        localos                所有本地操作系统用户。这些用户可以获得vCenter Server 的权                                  限。如果要进行升级,已获得权限的这些用户将保留其权限。

        vsphere.local          包含vCenter Single Sign-On 内部用户。

步骤

   

        1 以administrator@vsphere.local 或拥有vCenter Single Sign-On 管理员特权的其他用户的身份登录到vSphere Web Client。

        2 浏览到管理> Single Sign-On > 配置

        3 在标识源选项卡上,单击添加标识源图标。

        4 选择标识源的类型,然后输入标识源设置。

 

        5 如果将Active Directory 配置为LDAP 服务器或OpenLDAP 标识源,则单击测试连接以确保您            可以连接到标识源。

        6 单击确定


注意  添加标识源时,所有用户均可进行身份验证,但只有无权访问权限。                            具有vCenter Server Modify.permissions特权的用户可向用户或一组用户分配权限,以便他们能       够登录vCenter Server。后续回写到怎么为用户分配权限。


编辑vCenter Single Sign-On 标识源

    vSphere 用户在标识源中定义。您可以编辑与vCenter Single Sign-On 相关联的标识源的详细信息。


    步骤

        

        1 以administrator@vsphere.local 或拥有vCenter Single Sign-On 管理员特权的其他用户的身份登录到 vSphere Web Client。

        2 浏览到管理> Single Sign-On > 配置

        3 单击标识源选项卡。

        4 在表中右键单击标识源,然后选择编辑标识源

        5 编辑标识源设置。可用选项取决于所选标识源的类型。


选项                                             描述

Active Directory (已集成Windows 身份验证)   对于本机Active Directory 实施,请使用此选项。

作为LDAP 服务器的Active Directory           此选项可用于向后兼容性。这需要您指定域控制器和                                             其他信息。 


OpenLDAP                                    对于OpenLDAP标识源,请使用此选项。 

 

LocalOS                                     使用此选项可添加本地操作系统以作为标识源。系统                                             仅提示您输入本地操作系统的名称。如果选择此选                                               项,则指定计算机上的所有用户都对vCenter Single                                             Sign-On 可见,即使这些用户不属于其他域也是如                                               此。

        6 单击测试连接以确保可以连接到该标识源。

        7 单击确定。

        








本文出自 “云计算小窝” 博客,请务必保留此出处http://leegh.blog.51cto.com/8764149/1546626

配置 vCenter Single Sign-On 中